- Ⅰ. はじめに
- Ⅱ. DLLインジェクション、コードインジェクション
- Ⅲ. Hook
- Ⅳ. Debug
- Ⅴ. アンチリバースエンジニアリング
- Ⅵ. GUI ツール
- Ⅶ. ドライバ署名関係, PatchGuard 無効化
- Ⅷ. その他
- Ⅸ. Unpacker / Devirtualizer
- Ⅸ. まとめ
Ⅰ. はじめに
タイトルの通り「リバースエンジニアリング系情報まとめ」です。
Ⅱ. DLLインジェクション、コードインジェクション
Ⅲ. Hook
| メモ | リンク |
| C++, Windows, Kernel, syscall hook ETWをabuseして一部のsyscallをhookできる。 |
everdox/InfinityHook https://kagasu.hatenablog.com/entry/2019/12/29/155520 |
| C++, Windows, Kernel, syscall hook InfinityHook Windows 10 Build 19041 |
fIappy/infhook19041 |
| C++, Windows, Kernel, syscall hook InfinityHook Windows 10 Build 19041 |
MakeInfinityHookGreatAgain |
| C++, Windows, Kernel, syscall hook InfinityHook Windows 7 ~ Windows 11 |
FiYHer/InfinityHookPro |
| C++, Windows, Kernel, syscall hook InfinityHook Windows 7 ~ Windows 11 |
ThomasonZhao/InfinityHookProMax |
| C++, Windows, Kernel, syscall hook PGを回避して(無効化ではない)syscall後に任意のコードを割り込ませる。syscall前の割り込みは不可 |
can1357/ByePg |
| C++, Windows, Kernel, syscall hook KasperskyのHVを利用してsyscallをhookする(SSDT, SSSDT) |
iPower/KasperskyHook |
| C, Windows | HoShiMin/HookLib |
| C++, Android, iOS, Linux, macOS | asLody/whale |
| C++, Android | Chainfire/inject-hook-cflumen |
| C, Windows, Kernel | DarthTon/HyperBone |
| C++, Windows | microsoft/Detours |
| C, Android | ele7enxxh/Android-Inline-Hook |
| C#, .NET | pardeike/Harmony |
| C++, Windows | stevemk14ebr/PolyHook |
| C, Windows | TsudaKageyu/minhook |
| C, Windows, Kernel | tinysec/iathook |
| C, C#, .NET | EasyHook/Easyhook |
| C#, .NET, Unity | easy66/MonoHooker |
| C++, Linux, Android | ChickenHook/ChickenHook |
| TypeScript, Android, syscall hook | AeonLucid/frida-syscall-interceptor |
| C++, Windows, DirectX | Rebzzel/kiero |
| C++ | vovkos/protolesshooks |
| C++, Linux, Android, macOS | ChickenHook/ChickenHook |
| C, Linux, syscall hook | pmem/syscall_intercept |
| C++, Multiplatform, Multiple architecture, | jmpews/Dobby |
| Linux | LD_PRELOADを利用する |
| C, Android | iqiyi/xHook |
| C, Windows | mrexodia/AppInitHook |
| C++, Windows | vmcall/dxgkrnl_hook |
| C++, Windows | zeroperil/HookDump |
| C++, Windows, Kernel | MiroKaku/DetoursX |
Ⅳ. Debug
| メモ | リンク |
| C++, Windows, Kernel, Intel VT-x | changeofpace/VivienneVMM |
Ⅴ. アンチリバースエンジニアリング
Ⅵ. GUI ツール
| メモ | リンク |
| C++ | hzqst/Syscall-Monitor |
| C++ | AxtMueller/Windows-Kernel-Explorer |
| C# | dnSpyEx/dnSpy |
| C# | HoLLy-HaCKeR/dnSpy.Extension.HoLLy |
| C++ | zer0condition/ReverseKit |
Ⅶ. ドライバ署名関係, PatchGuard 無効化
Ⅷ. その他
| メモ | リンク |
| C++, Windows, prcess clone | _xeroxz_pclone |
| C, Windows, Access without a real handle | btbd/access |
| C++, Windows | Mattiwatti/PPLKiller |
| C++, Windows | RedCursorSecurityConsulting/PPLKiller |
| C++, Windows | itm4n/PPLcontrol |
| C++, Windows | DarthTon/Blackbone |
| C#, Unity | sinai-dev/UnityExplorer |
| C++, Windows, Kernel | HyperDbg/HyperDbg |
| C++, Windows | SamuelTulach/negativespoofer |
| Python | Ciphey/Ciphey |
| C++, Windows | vxunderground/WinAPI-Tricks |
| 改変されたUPXをアンパックできる | JPCERTCC/upx-mod |
| .NET デコンパイラ一覧 | https://blog.dotnetsafer.com/best-dotnet-decompilers/ |
| C, Windows, Packer | ORCx41/AtomPePacker |
| Flutter | Impact-I/reFlutter |
| Windows symbol diff | ergrelet/windiff |
| Windows脆弱なドライバの一覧 | https://www.loldrivers.io/ |
| 期限切れの証明書で署名可能にする | namazso/MagicSigner |
| Themida CRC Bypass | SohWeeKiat/Themida-3.x.x-CRC-Bypass |
Ⅸ. Unpacker / Devirtualizer
| メモ | リンク |
| Themida/WinLicense 2.x and 3.x. | ergrelet/unlicense |
| VMProtect | samrussell/vmprotect_binja_plugin |
| Themida | Hendi48/Magicmida |
| Oreans Code devirtualizer | st4ckh0und/AntiOreans-CodeDevirtualizer |
| VMProtect devirtualizer | archercreat/titan |
| VMProtect Import fixer | archercreat/vmpfix |
